CVE-2026-42843

Nome do Software Vulnerável e Versões Afetadas Grav API Plugin versões anteriores a 1.0.0-beta.15

Descrição Uma referência direta a objeto insegura e uma falha de lógica na função update() do UsersController permitem que qualquer usuário autenticado com permissões básicas de api.access modifique sua própria configuração de permissões. Ao enviar uma requisição PATCH para o endpoint de atualização de usuário, um invasor pode sobrescrever a variável access para conceder a si mesmo privilégios de Super Administrador (admin.super e api.super). Esta escalada de privilégios vertical pode levar ao comprometimento total do sistema e a uma potencial execução remota de código (RCE), permitindo que o invasor modifique configurações ou faça o upload de plugins maliciosos.

Recomendações Atualize o Grav API Plugin para a versão 1.0.0-beta.15.